Muito se fala na função do encarregado de dados numa corporação, ou para aqueles que gostam da expressão em inglês, DPO (Data Protection Officer). Mas afinal, quem é ou deve ser essa pessoa? Essa figura é obrigatória para todas as empresas?
O Encarregado de Dados ou DPO é a pessoa que atua como canal de comunicação entre o controlador, os titulares (donos dos dados) e a ANPD (Agência Nacional de Proteção de Dados).
DPO (Data Protection Officer) é uma função (ou cargo) trazida pela legislação europeia (GDPR), que possui critérios objetivos quanto a sua obrigatoriedade. Ou seja, se a empresa atender a determinados requisitos, estará obrigada a possuir uma pessoa com o cargo/função de Data Protection Officer.
Já a legislação brasileira, por sua vez, trouxe a função do Encarregado de Dados, mas não estabeleceu critérios objetivos, cabendo a Autoridade Nacional de Proteção de Dados tal tarefa, conforme regra do artigo 41, §3º da Lei Geral de Proteção de Dados. Sendo assim, caberá a ANPD às orientações e expedição de resoluções para organização de tal função.
Mas afinal, é uma figura obrigatória? SIM! Vejamos: o artigo 41 da LGPD traz como obrigatória, mas em seu parágrafo terceiro, faculta à ANPD a possibilidade de isentar determinadas empresas de tal determinação. Isso quer dizer que, enquanto não houver manifestação contrária pela ANPD, a função do Encarregado de Dados é indispensável e todas as empresas deverão indicar um responsável.
E quem poderá ser essa pessoa? Pois bem, a lei não estabelece a necessidade de uma pessoa física. O Encarregado de Dados poderá ser um funcionário da instituição ou uma empresa terceirizada, através de um consultor com conhecimento e preparo. O eleito deverá estar pronto para enfrentar, desde questões relacionadas ao dia a dia da corporação, até casos extremos de incidentes envolvendo dados pessoais sob sua responsabilidade.
E quais são as atividades do Encarregado de Dados? (I) - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (II) - receber comunicações da autoridade nacional e adotar providências; (III) - orientar aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (IV) - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Sendo assim, podemos concluir que o papel do Encarregado de Dados é obrigatório, possuindo um papel determinado, até que a ANPD diga ao contrário. Pode ser uma pessoa física ou jurídica, desde que com expertise para atuar em tal função.